• All incoming and outgoing Internet traffic should be forced to go through the firewall, which is the sole means of entry from and exit to the Internet.
• Do start with a conservative firewall security policy, i.e. "Deny all services except those explicitly permitted." It is recommended not to blindly follow the default settings in the firewall.
• All services allowed to go through the firewall should be carefully planned and evaluated.
The firewall can be configured to use network address translation (NAT) to hide internal network information such as IP addresses. In an IPv6 environment, our departments may allow end-to-end connectivity to the Internet if there are operational necessities.
•すべての送受信される情報はインターネットへの出入りの唯一の手段であるファイアウォールを通過することを強制されるべきである。
•ひかえめなファイアウォールのセキュリティポリシーの設定で始めてください。なぜなら、 "明確に許可されたものを除いてすべてのサービスを拒否するからです。"
盲目的にファイアウォールのデフォルト設定に従わないことをお勧めします。
•ファイアウォールを通過するよう許可されたすべてのサービスは、慎重に計画され、評価されるべき。
ファイアウォールは、IPアドレスのような内部ネットワーク情報を非表示にするために、ネットワークアドレス変換(NAT)を使用するように環境設定することができます。
IPv6環境下で、我が部門ではインターネットへのエンドツーエンド接続を操作上の必要性がある場合において許可するでしょう。
• 保守的なファイヤーウォールセキュリティポリシーから始めること。例:明白に許可されたサービス以外は拒否する。ファイヤーウォール初期設定には盲目的に従わないことを推奨する。
• ファイヤーウォール通過を許可されるサービスは慎重に計画し、かつ評価すべきである。
ファイヤーウォールはIPアドレスなどの内部ネットワーク情報を見えないようにするためネットワークアドレス変換装置(NAT)として使用できるよう構成できる。IPv6環境下、私たちの部門は必要性があればインターネットにエンドツーエンド接続性が許可される。
In doing so, proper security measures, such as using temporary IP addresses to inhibit user activities profiling, should be considered.
• The firewall should be configured to enable content filtering, and computer virus and malicious code scanning capabilities.
• The firewall should be properly configured for IP level filtering.
• The firewall should be configured to block unused ports and filter unnecessary traffic, e.g. unnecessary incoming or outgoing Internet Control Message Protocol (ICMP) traffic.
• The firewall itself should be physically secured.
• The firewall policy established should be flexible for future growth and adaptable to changes on security requirements.
• ファイアウォールはコンテンツ・フィルタリング、およびコンピュータ・ウイルスと悪質なコードのスキャニング能力を可能にするように設定されているべきです。
• ファイアウォールは、IPレベル・フィルタリングのために適正に設定されていなければなりません。
• ファイアウォールは、使われていないポートをブロックし、不必要なトラフィック、例えば不必要な入って来る、または出て行くインターネット・コントロール・メッセージ・プロトコル(ICMP)トラフィック、にフィルターをかけるように設定されていなければなりません。
• ファイアウォール自身が、物理的に保護されているべきです。
• 確立されるファイアウォール指針は、将来の成長に合わせて柔軟で、セキュリティ要件の変化に適応できなければなりません。
•ファイアウォールは、コンテンツのフィルタリング、コンピュータウィルスや悪意のあるコードのスキャン機能を可能にする構成されるべきである。
•ファイアウォールはIPレベルでのフィルタリングのために適切に設定されるべきである。
•ファイアウォールは使用されていないポートとフィルタ不要なトラフィック、例えば不要な送信か受信のインターネット制御通知プロトコル(ICMP)トラフィックなどをブロックするように環境設定する必要があります
•ファイアウォール自体は、物理的に保護する必要があります。
•ファイアウォールポリシーは、将来の成長やセキュリティ要件の変化に適応できるよう融通が利くように確立する必要があります。
• Correctly set and assign file permissions on firewall. Permissions on system files should be as restrictive as possible.
• A firewall should be thoroughly tested, and its configuration should be properly verified before going production.
• A firewall test is necessary after major change or upgrade to the firewall.
• If necessary, FTP or TELNET originated within the internal departmental network may be allowed to go through the firewall to the Internet.
• All software and OS installed on the firewall should be maintained with proper version by periodically revisiting the vendor sources and upgrading with patches and bug fixes.
• Real-time alerts should be set up for emergency incidents.
システム・ファイルの許可は、できるだけ制限的であるべきです。
• ファイアウォールは、十分テストされるべきであり、そして、その設定は生産に入る前に適正に確認されるべきです。
• ファイアウォールへの大きな変更、またはアップグレードの後では、ファイアウォール・テストが必要です。
• 必要であれば、内部部門ネットワークの中で創出されたFTPやTELNETは、ファイアウォールを経由してインターネットに行かせてもよいかもしれません。
• ファイアウォール上にインストールされるすべてのソフトウェア、およびOSは、定期的にベンダーもとを再訪し、パッチ当てやバグを修正によるグレードアップを行って、適正なバージョンを維持されなければなりません。
• 緊急事件備えて、リアルタイム警報がセットアップされているべきです。
•ファイアウォールは徹底的にテストしてください。その環境設定を生産に移行する前に適切に確認する必要があります。
•ファイアウォールのテストは、ファイアウォールに大きな変更、またはアップグレードをした後に必要です。
•必要であれば、FTPまたはTELNET、内部部門ネットワーク内で発信されたものであればインターネットにファイアウォールを通過させてもかまいません。
•ファイアウォールにインストールされているすべてのソフトウェアとOSの製造元に再訪しパッチやバグ修正とアップグレードすることで定期的に適切なバージョンに維持すべきです。
•リアルタイムアラートは、緊急時のために設定してください。
Thank you!